Arnaque au faux RIB : la justice tranche à nouveau

Une fraude simple, des pertes énormes

L’arnaque au faux RIB (ou faux IBAN) progresse car elle exploite un réflexe courant : payer vite, sans recontrôle. Dans une affaire récente, une entreprise aurait perdu plus de 96 000€ après une substitution de coordonnées bancaires. Ce type de dossier arrive de plus en plus souvent devant les tribunaux, car une question revient : qui doit supporter la perte ? Le juge examine alors la vigilance du payeur, mais aussi le rôle des intermédiaires. L’enjeu est concret pour les professionnels, les associations, et même les particuliers lors d’un achat important.

Arnaque au faux RIB : définition et scénario classique

Une arnaque au faux RIB consiste à remplacer les coordonnées bancaires d’un bénéficiaire légitime par celles d’un fraudeur. Le paiement part vers un compte frauduleux, souvent ouvert sous une identité usurpée ou via des mules. L’escroc ne pirate pas toujours la banque. Il manipule souvent la chaîne de communication.

Le scénario le plus fréquent passe par un e-mail crédible. Un RIB “mis à jour” est envoyé au bon moment, avec un message pressant. Le ton est professionnel, la signature est copiée, et la demande semble logique.

Les techniques utilisées par les fraudeurs

• Usurpation d’identité : imitation d’un fournisseur, d’un notaire, d’un artisan, ou d’un agent immobilier.
• Compromission de boîte mail : accès à une messagerie et insertion d’un faux RIB dans un échange réel.
• Faux domaine : adresse e-mail presque identique à l’originale (ex. “.com” au lieu de “.fr”).
• Pression temporelle : “paiement urgent”, “pénalités”, “dernier délai”.

Ce que rappelle la nouvelle décision de justice

Dans les litiges liés au faux RIB, la décision de justice met souvent l’accent sur un point : la répartition des responsabilités dépend des diligences réalisées. Le juge regarde les faits, le contexte, et les mesures de contrôle disponibles. L’objectif est de déterminer si la fraude était évitable par des réflexes simples.

La logique est constante : un virement est un ordre donné à la banque. Si l’IBAN est valide et correspond au titulaire du compte destinataire, la banque exécute l’ordre. Ensuite, la discussion juridique porte sur les contrôles attendus avant l’ordre de paiement.

Trois questions au cœur du raisonnement

• Un changement de RIB a-t-il été vérifié par un canal indépendant ?
• Des procédures internes existaient-elles (double validation, seuils, confirmation) ?
• La banque ou un prestataire a-t-il commis une faute distincte (anomalie, alerte ignorée, exécution non conforme) ?

Responsabilités : payeur, banque, fournisseur… qui peut être mis en cause ?

Dans une fraude au faux RIB, plusieurs acteurs peuvent être examinés. La justice analyse les responsabilités au cas par cas. Un même dossier peut aboutir à des conclusions différentes selon les preuves et la chronologie.

Le payeur : une obligation de vigilance renforcée

Le payeur, surtout professionnel, doit démontrer une vigilance proportionnée aux montants et au risque. Un changement de coordonnées bancaires est un signal d’alerte. Sans vérification, la faute peut être retenue.

Exemple concret : un “nouvel IBAN” reçu par e-mail, sans appel au fournisseur sur un numéro déjà connu. Si le virement part immédiatement, la défense devient difficile. La justice attend souvent une validation par un autre canal.

La banque : exécution de l’ordre et limites des contrôles

La banque doit exécuter l’ordre correctement, dans les délais, et selon les instructions. En zone euro, le virement SEPA repose sur l’IBAN. Depuis 2019, la réglementation européenne (DSP2) a renforcé la sécurité des paiements, mais le virement reste sensible au faux bénéficiaire.

Dans la pratique, la banque n’est pas toujours tenue de vérifier que le nom du bénéficiaire correspond à l’IBAN. Toutefois, si des anomalies évidentes existent (mécanismes anti-fraude, opérations atypiques, alertes), la discussion peut s’ouvrir.

Le fournisseur ou l’intermédiaire : sécurité des échanges

Un fournisseur dont la messagerie a été compromise peut être critiqué s’il n’a pas protégé ses accès. Mais il faut prouver un lien clair entre la faille et la fraude. Dans certains dossiers, la responsabilité peut aussi viser un prestataire informatique ou un intermédiaire, selon les obligations contractuelles.

Chiffres et tendances : pourquoi l’arnaque au faux RIB explose

Les fraudes par ingénierie sociale augmentent car elles ciblent l’humain. La Commission européenne et les autorités nationales rappellent régulièrement que la majorité des incidents de paiement frauduleux provient d’une manipulation plutôt que d’un “piratage” bancaire pur. La Banque de France et l’Observatoire de la sécurité des moyens de paiement publient aussi des rapports soulignant la montée des tentatives via e-mails et faux ordres.

Cette réalité rejoint une formule souvent attribuée à Bruce Schneier, expert en cybersécurité : « La sécurité est un processus, pas un produit ». Un anti-virus ne compense pas l’absence de procédure de validation.

Les bons réflexes à adopter (entreprises et particuliers)

Le meilleur bouclier contre le faux RIB reste une procédure simple, répétable, et documentée. Elle doit couvrir l’arrivée du RIB, sa validation, et le déclenchement du paiement. L’objectif est d’empêcher le “clic réflexe”.

Checklist anti-faux RIB

• Interdire le changement de RIB par e-mail seul, sans confirmation.
• Appeler le fournisseur sur un numéro déjà enregistré, jamais celui du mail.
• Mettre en place une double validation au-delà d’un seuil (ex. 1000€).
• Exiger un RIB au format PDF signé ou un document via espace client sécurisé.
• Contrôler l’IBAN : pays, cohérence, et historique des paiements.
• Former les équipes comptables aux signaux d’alerte (urgence, ton inhabituel).

Procédure recommandée pour un changement d’IBAN

1. Réception de la demande de changement.
2. Vérification par un canal indépendant (appel sortant).
3. Validation interne (deux personnes si possible).
4. Test par petit virement si le montant final est élevé.
5. Archivage des preuves (e-mails, appels, documents).

Que faire en cas de virement vers un faux IBAN ?

La rapidité est déterminante. Plus l’alerte est donnée tôt, plus les chances de blocage augmentent. Une récupération totale reste rare, mais des retours partiels sont possibles si les fonds n’ont pas été dispersés.

Actions immédiates

• Contacter la banque immédiatement pour demander un rappel de fonds (recall) et signaler la fraude.
• Déposer plainte et conserver tous les éléments (RIB, échanges, en-têtes d’e-mails).
• Prévenir le vrai bénéficiaire afin d’identifier l’origine de la compromission.
• Informer l’assureur si une garantie cyber ou fraude est prévue.

Implications pratiques pour la trésorerie et la conformité

Pour une entreprise, une perte de 10 000€ à 100 000€ peut désorganiser la trésorerie. Elle peut aussi déclencher des tensions fournisseurs, des retards de chantier, ou des pénalités. Une procédure anti-faux RIB coûte peu, mais évite un risque majeur.

Pour un particulier, le risque est élevé lors d’un achat immobilier, de travaux, ou d’un véhicule. Un virement important doit toujours être confirmé. L’habitude de vérifier une seule fois n’est plus suffisante.

À retenir

• Le faux RIB est une fraude d’ingénierie sociale basée sur la substitution d’IBAN.
• La justice apprécie la vigilance : changement de RIB = alerte.
• La banque exécute l’ordre, mais des responsabilités peuvent se discuter selon les anomalies.
• Une procédure simple (appel sortant, double validation) réduit fortement le risque.

Quelles mesures anti-faux RIB semblent les plus faciles à mettre en place au quotidien : appel systématique, double validation, ou test par petit virement ?